Comment résoudre les erreurs: "Autre nom de sujet manquant"; “NET :: ERR_CERT_COMMON_NAME_INVALID”; ou "Votre connexion n'est pas privée" dans Google Chrome

CONCERNE:

Navigateur Web:
- Google Chrome version 58 ou supérieure
Produits Epson:
- TM-T88VI-i / TM-T88VI-iHub
- TM-m30
- TM-P80 / TM-P60II / TM-P20
- UB-E04 / UB-R04

EXPLICATION:

Le problème:

Pour Chrome 58 et les versions ultérieures, seule l'extension subjectAlternativeName (pas commonName) est utilisée pour faire correspondre le nom de domaine et le certificat de site. Si le certificat ne possède pas l’extension subjectAlternativeName appropriée, l’utilisateur recevra un message d’erreur indiquant que la connexion n’est pas privée.

Contexte:

La RFC 2818 décrit deux méthodes pour faire correspondre un nom de domaine à un certificat:

utiliser les noms disponibles dans l'extension subjectAlternativeName; ou,
Utilisez le commonName.

L'utilisation de commonName était obsolète dans le document RFC 2818 (publié en 2000), mais la prise en charge est restée active chez la plupart des clients. Pour des raisons de sécurité, cette prise en charge a maintenant été supprimée.

Solutions:

Les utilisateurs de Google Chrome ont deux options pour contourner ce problème:

Désactivez la vérification de subjectAlternativeName dans Chrome.
Il s'agit d'une solution de contournement qui ne fonctionnera pas au-delà de la version 65 de Google Chrome et ne devrait être utilisée que comme une solution temporaire.
Remplacez le certificat incriminé par un autre qui utilise l'extension subjectAlternativeName.
S'il est correctement implémenté, il s'agit d'un correctif permanent qui devrait fonctionner pour la plupart des navigateurs susceptibles d'implémenter la vérification subjectAlternativeName.

Comment désactiver la vérification de subjectAlternativeName dans Chrome:

En ajoutant le paramètre suivant à votre environnement, vous pouvez forcer Chrome à autoriser les certificats pour lesquels l'extension subjectAlternativeName est manquante:

Registre Windows (REG_DWORD):

Software\Policies\Google\Chrome\EnableCommonNameFallbackForLocalAnchors
Nom de préférence Mac / Linux (booléen):

EnableCommonNameFallbackForLocalAnchors
Nom de restriction Android (booléen):

EnableCommonNameFallbackForLocalAnchors

Lorsque ce paramètre est activé, Google Chrome utilisera le commonName d'un certificat de serveur pour faire correspondre un nom d'hôte si le certificat ne dispose pas d'une extension subjectAlternativeName, à condition que ce dernier soit correctement validé et lié à un certificat d'autorité de certification installé localement.

Exemple:
Une clé de registre peut être ajoutée à Windows en entrant ce qui suit à l'invite de commande: reg add HKLM\Software\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1 Cette solution de contournement cessera de fonctionner au-delà de la version 65 de Google Chrome.

Exemple:

Une clé de registre peut être ajoutée à Windows en entrant ce qui suit à l'invite de commande:

reg add HKLM\Software\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1

Cette solution de contournement cessera de fonctionner au-delà de la version 65 de Google Chrome.

Exemple de création et de téléchargement d'un certificat à l'aide de l'extension subjectAlternativeName

Pour cet exemple, nous allons créer un fichier de configuration contenant les informations requises:

Ce fichier contient les détails spécifiques relatifs aux objets de sécurité que nous souhaitons générer, y compris les noms d’hôtes, surlignés en rouge. Notez que cela peut être une adresse IP ou DNS.

Une fois ce fichier généré, nous pouvons exécuter req pour générer les objets de sécurité. Par exemple:

Pour pouvoir télécharger cette imprimante, il est nécessaire de regrouper les objets de sécurité (clé et certificat) dans une archive PKCS # 12. Par exemple:

OpenSSL demandera de manière interactive un mot de passe.

Le résultat est une archive PKCS # 12 prête à être téléchargée sur le serveur (imprimante) et un certificat prêt à être installé chez le client.